Política de Seguridad Informática para Apostar S.A. Carolina Henao Acosta. Juan Pablo Ortiz Villegas. Asesor. Ing. Julio César Cano Ramírez

Transcripción

1 1 Política de Seguridad Informática para Apostar S.A. Carolina Henao Acosta Juan Pablo Ortiz Villegas Asesor Ing. Julio César Cano Ramírez Universidad Católica Popular del Risaralda Facultad de Ciencias Básicas e Ingeniería Programa de Ingeniería de Sistemas y Telecomunicaciones Pereira 2010

2 2 Agradecimientos Agradecemos en primera instancia a Dios, por acompañar nuestro camino e iluminarlo en los momentos de lucidez y dificultad. A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su ejemplo el valor del esfuerzo. A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza. A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr llegar a la meta que nos hemos propuesto. A la empresa Apostar S.A. por su apoyo incondicional, profesional y personal en la realización de este proyecto.

3 3 Contenido Introducción Descripción del Problema Planteamiento del Problema Formulación del Problema Justificación Objetivos Objetivo General Objetivos Específicos Delimitación Espacial Temporal Planteamiento de la Hipótesis Identificación de variables Variable Independiente Variable Dependiente Marco de Referencia Marco Contextual Marco Teórico Concepto de seguridad Seguridad informática Generalidades de la seguridad de la información para empresas y particulares Anonimato y privacidad Confidencialidad, integridad, disponibilidad Seguridad en las redes Protección a los equipos Auditoría, detección de intrusiones y análisis forense Política de seguridad Planificación del proceso de seguridad informática Marcos para la definición de políticas. 40

4 La seguridad informática en este entorno Interpretación del gráfico perfil de riesgo vs índice de defensa Evaluaciones Realizadas A Nivel Nacional Empresas Locales Empresa objeto de estudio Modelo Teórico Concreción del Modelo Presupuesto Materiales e Insumos Viáticos Papelería Presupuesto Global Cronograma de Actividades 66 Conclusiones y Recomendaciones 67 Referencias 69 Anexos 74

5 5 Lista de Cuadros Cuadro 1. Identificación de variable independiente 18 Cuadro 2. Identificación de variable dependiente 18 Cuadro 3. Perfil de riesgos para empresa vs índice de defensa en profundidad informe resumido 55 Cuadro 4. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 56 Cuadro 5. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 57 Cuadro 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 59 Cuadro 7. Materiales e Insumos 64 Cuadro 8. Viáticos 64 Cuadro 9. Papelería 65 Cuadro 10. Presupuesto Global 65 Cuadro 11. Cronograma de Actividades 66

6 6 Lista de Figuras Figura 1. Confidencialidad, integridad, disponibilidad 30 Figura 2. Relación entre políticas, normas o estándares y guía o directriz. 34 Figura 3. Ciclo de vida de la política de seguridad 36 Figura 4. Guía para la Elaboración de Políticas de Seguridad 38 Figura 5. Evolución de la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) 44 Figura 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 54 Figura 7. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 55 Figura 8. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 57 Figura 9. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido 58

7 7 Lista de Anexos Anexo A. Diagnóstico de Seguridad Informática Apostar S.A.pdf Anexo B. Evaluación en Seguridad Informática Apostar S.A.pdf Anexo C. Evaluación en Seguridad Informática Apuestas Ochoa.pdf Anexo D. Evaluación en Seguridad Informática Asmed Salud.pdf Anexo E. Evaluación en Seguridad Informática Oncologos de Occidente.pdf Anexo F. Política de Seguridad Apostar S.A..pdf

8 8 Resumen El diseño de la política de seguridad informática para Apostar S.A., se realiza buscando un objetivo principal y único que se centra en crear conciencia organizacional, en lo referente a la protección de la información y de los datos. La etapa inicial del proyecto se centra en la búsqueda de fuentes que permitan darle la importancia y la relevancia a este importante tema, partiendo de la base de un diagnóstico en seguridad que mostró varios puntos neurálgicos de urgente intervención en la empresa impactada. Aplicando herramientas software para evaluar el estado actual de la seguridad en algunas empresas nacionales, regionales y locales, se establece y se confirma la falta de prácticas seguras en el área informática y la falta de preocupación por parte de la alta gerencia de las organizaciones para adoptar medidas al respecto. Finalmente, se diseña una propuesta que, puesta en marcha, le ayudará a Apostar S.A. a mejorar su protección frente a riesgos inherentes a su actividad económica y marcará la ruta para iniciar un proyecto estructurado y que abarque todos los niveles de seguridad en la organización. Palabras Clave: Política, conciencia, protección, datos, seguridad, diseño, objetivo, información, herramientas.

9 9 Abstract The design of the security policy for Apostar S.A., seeks a single primary objective, which focuses on organizational awareness, regarding the protection of information and data. The initial stage of the project focuses on the search for sources that allow to give the importance and relevance to this important matter, on the basis of a security diagnosis showed several hot spots of urgent intervention impacted the company. Using software tools to assess the current state of security in some national, regional and local authorities, establishing and confirming the lack of safe practices in the area of information and lack of concern by top management of organizations to adopt an action. Finally, we designed a proposal; its implementation will help Apostar S.A. to improve their protection against risks inherent in their business and lead a way to start a structured plan and cover all security levels in the organization. Keywords: Policy, awareness, protection, data security, design, objective information and tools.

10 10 Introducción El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un bloque de hormigón y sellado en una habitación recubierta de plomo con guardias armados y aun así tengo mis dudas (Spafford, 1989, p.110). La seguridad en cualquier ámbito es sinónimo de confianza, certeza, convicción y es manejada por todas las organizaciones como uno de sus procesos principales. Se asegura el cuidado de los activos, de las instalaciones físicas, de las personas y del dinero, servicios que son prestados generalmente, por personas o empresas externas. Pero, de manera irónica, en el caso del software y la administración de redes, no ocurre lo mismo. No hay políticas de seguridad claras que permitan preservar uno de los elementos más valiosos de la organización: la información. Se tiene la falsa sensación de dar por sentado que si nada ha fallado es porque todo está bien; sólo cuando se presenta el inconveniente, se toman medidas. No hay una planeación previa, no se analizan los riesgos con anticipación, no se piensa en las soluciones al momento de afrontar un problema; en general, se tiene una seguridad ficticia en lo poco o mucho que tenga la organización en la parte informática. De igual manera, se piensa que el problema de seguridad es de las personas y no de las máquinas, de allí el concepto de sensibilizar al usuario frente a las consecuencias de sus malas prácticas para proteger la información que tienen a su cargo. La seguridad informática, por su parte, es una práctica obligada en las organizaciones, cuyo objetivo principal es preservar la información e impedir que sea mal utilizada. En

11 11 Apostar S.A., monopolio de apuestas del departamento de Risaralda, no existe actualmente ninguna política a seguir para cumplir con este objetivo. Este proyecto, apoyado en un diagnóstico inicial, realizado como Proyecto de Intervención en la Práctica Profesional, se enfocará en diseñar la política de seguridad de esta empresa. A través de las diferentes partes del trabajo, se evidenciará la necesidad urgente, no solo de diseñar la política, sino de implementarla con el compromiso del personal de la organización.

12 12 1. Descripción del Problema 1.1 Planteamiento del Problema La constante necesidad de tener disponibles los mejores recursos humanos, técnicos o tecnológicos en las organizaciones, con el fin de competir con servicio y una buena infraestructura, ha incrementado también la utilización de aplicaciones, la adecuación de nuevas estaciones de trabajo, así como de la vinculación del personal que las administra. En el afán de entregar los resultados esperados, las empresas dejan de lado el análisis de las implicaciones que puede traer consigo, una mala implantación de los procesos, al no tener en cuenta o no aplicar la política de seguridad en la organización, que en muchos casos, como el de Apostar S.A., ni siquiera existe. Es común ver como varias personas que laboran en la organización manejan con idéntica contraseña una aplicación de uso frecuente y confidencial, que tienen acceso a todo sin excepción y que no dimensionan la delicadeza de sus contenidos. Además, no hay respaldo de la información de cada estación de trabajo, teniendo un alto riesgo de perderse por la misma inseguridad que se maneja en la red. Hasta el momento, no se ha cuantificado el daño económico o de impacto organizacional que podría acarrear un manejo inadecuado de los recursos tecnológicos y de la información en sí misma. Actualmente en Apostar S.A, no existe un esquema de seguridad informática que permita tener un punto de referencia ante posibles ataques informáticos o evitarlos de alguna manera, constituyéndose cada vez en un punto neurálgico de la organización. 1.2 Formulación del Problema Cómo debe diseñarse la política de seguridad informática en Apostar S.A.?

13 13 Cómo favorece a la empresa Apostar S.A. contar con una serie de estrategias y/o reglamentos para el acceso y protección de su información? Cuáles son los puntos principales que deben ser incluidos en la política de seguridad de Apostar S.A? Existe alguna relación entre las personas involucradas, en el manejo de la información de la empresa Apostar S.A y los incidentes informáticos que ocurren?

14 14 2. Justificación Actualmente, tanto el sector público como el privado, dependen parcialmente de sus sistemas informáticos. Esto hace necesario que cada vez se preste mayor atención a la disponibilidad, confidencialidad e integridad de los mismos, garantizando la continua prestación de sus servicios, así como la certeza de tener su información segura y sus sistemas protegidos. Con base en lo anterior se hace necesario contar con estrategias y medidas de seguridad de la información, para garantizar el funcionamiento adecuado de todos los sistemas, y para que en un momento dado, se puedan aplicar los correctivos necesarios en caso de un eventual ataque o desastre, que impliquen la pérdida de la información y los sistemas informáticos. Como ya ha sido citado, la empresa Apostar S.A, no cuenta con políticas claramente definidas para el manejo de la información y de los datos, así como de sus sistemas de información y el respaldo necesario de éstos. Es actualmente imposible afrontar los retos a los que se ven desafiadas las organizaciones hoy por hoy, en el estado actual en el que se encuentra esta empresa. Este proyecto realizará un aporte valioso, al facilitar las herramientas necesarias para proteger la información y preservarla. Pretende crear conciencia organizacional en lo que se refiere a la seguridad de los datos y las implicaciones que conllevaría la no aplicación de las medidas diseñadas para tal fin.

15 15 3. Objetivos 3.1 Objetivo General Diseñar la política de seguridad informática para la empresa Apostar S.A. 3.2 Objetivos Específicos Identificar los puntos neurálgicos en la seguridad de la información, al interior de la organización. Determinar el estado actual de la seguridad informática al interior de Apostar S.A, con el fin de aplicar las medidas necesarias. Realizar un diagnóstico de la seguridad informática en Apostar S.A con el fin de determinar los puntos críticos. Analizar las diferentes herramientas de apoyo para formular la política de seguridad para Apostar S.A.

16 16 4. Delimitación 4.1 Espacial El proyecto se realizará en la empresa Apostar S.A., en el Departamento de Risaralda y la implementación quedará a su cargo. Se entregarán las recomendaciones para la puesta en marcha y el mantenimiento de la política de seguridad. 4.2 Temporal El proyecto se desarrollará en el año 2010.

17 17 5. Planteamiento de la Hipótesis El diseño de la política de seguridad informática logrará la protección adecuada de la información requiriendo para ello, su implementación en la empresa Apostar, lo cual será un compromiso de la alta gerencia.

18 18 6. Identificación de variables 6.1 Variable Independiente Cuadro 1. Identificación de variable independiente. TIPO DE VARIABLE VARIABLE Política de Cualitativa Seguridad Fuente: (LÓPEZ, 2008) OPERACIO NALIZACIÓN CATEGORÍAS DEFINICIÓN La presencia o La implementación ausencia de la correcta de la política Integridad política de de seguridad, da Confidencialidad seguridad causa un garantías de calidad Disponibilidad impacto en la sobre la protección de organización los datos 6.2 Variable Dependiente Cuadro 2. Identificación de variable dependiente. TIPO DE OPERACIO CATEGORÍA VARIABLE VARIABLE NALIZACIÓN S DEFINICIÓN Protección de la Información Cualitativa Con prácticas confiables, se garantiza la integridad, confidencialidad y disponibilidad de la información Ataque Vulnerabilidad La protección de la información debe ser un prioridad para la organización y por ende, debe adoptar medidas que garanticen la seguridad de los datos Fuente:(LÓPEZ, 2008)

19 19 7. Marco de Referencia 7.1 Marco Contextual La organización que se verá impactada con este proyecto, es Apostar S.A. Es una empresa reconocida a nivel departamental por la explotación del mercado de apuestas y juegos de azar. Tiene una trayectoria de 20 años y en promedio tiene vinculadas a 800 personas de manera directa, quienes son las encargadas de impulsar comercialmente los productos que ofrece. Con la evolución en las comunicaciones y en las tecnologías de la información, han avanzado de igual manera las organizaciones. Las empresas de apuestas permanentes, no son la excepción y han ido adquiriendo activos importantes en cuanto a tecnología para la operación de sus servicios, dando un paso a la transformación de sus modelos de negocio; ofrecen distintos servicios al público, tales como: recargas a celular, pago de servicios públicos, recargas para el sistema integrado de transporte, giros nacionales y apuestas permanentes, entre otros. De esta manera al entrar en esta era tecnológica y utilizarla como un pilar fundamental para la correcta prestación de sus servicios, se hace necesario realizar la evaluación objetiva, en lo que se refiere al cumplimiento de lo estipulado en la trilogía básica de la Seguridad Informática, como lo es la integridad, disponibilidad y confidencialidad de su información y dispositivos.

20 Marco Teórico Es relativamente reciente la aparición de los conceptos de seguridad informática, la cual comenzó a tomar forma en la última década, desde principios del siglo XX, en los años cincuenta, cuando se extendió el uso de líneas telefónicas. Estos sistemas albergaban fallos que eran explotados por intrusos que accedían a los sistemas pudiendo desviar llamadas a su antojo, escuchar conversaciones, etc. Los primeros denominados hackers reconocidos datan de los años sesenta. Este término era utilizado para describir a personas obsesionadas por aprender todo lo posible sobre los sistemas electrónicos. En los años sesenta surge la subcultura hacker y se extiende el uso del término phreaker, persona que vulnera la seguridad de los elementos de comunicaciones. Llamadas gratuitas, escuchas ilegales, etc., están al alcance de los intrusos. Los sistemas manuales para encaminar llamadas telefónicas operados por personas han sido sustituidos por sistemas automáticos operados por ordenadores. Dichos sistemas, basados en su mayoría en tonos multifrecuencia, permiten nuevos ataques: el canal utilizado para comunicarse es el mismo que se utiliza para señalizar, por lo que los intrusos, una vez conocidas las frecuencias de señalización, emiten tonos especiales para evitar la tarificación de llamadas, realizar desvíos, etc. En esta década se iniciaron los primeros estudios en seguridad informática, ya centrada en el ámbito universitario y militar, que buscaba protección a la información, así como se le daba a la infraestructura física del organismo (Álvarez y Pérez, 2004, p.20).

21 21 Los años ochenta, destacados por la aparición de Internet y la masificación de los ordenadores personales, también fueron importantes por los desarrollos realizados en materia de seguridad. Aparecieron los primeros programas detectores de intrusos y de protección de la información, manejados principalmente en empresas grandes, universidades y en la parte militar. Estas entidades se preocupaban porque sus programas realizaran las actividades para las que fueron diseñados pero siendo vulnerables, no dimensionaban las consecuencias que podrían traer las intrusiones o los virus, por ejemplo. A raíz de esta preocupación general, se inició la aprobación de leyes que castigaran de cualquier modo la intrusión a cualquier ordenador o información. En 1987 se confirma el primer virus informático creado por Robert Morris, el cual causó daños importantes en la red ARPANET (Advanced Research Projects Agency Network), precursora de Internet. En la década de los noventa ya el término hacker pasó a ser sinónimo de delincuente y ocurrieron varios ataques informáticos importantes, entre ellos el del señor Kevin Mitnick, quien logró robar más de números de tarjetas de crédito, burlar la seguridad del FBI y controlar varios centros de conmutación telefónica en los Estados Unidos, entre otras cosas, cuando finalmente fue capturado en el año En las empresas se empieza a manejar un departamento dedicado exclusivamente a la Seguridad de la Información para Empresas y Particulares; aparecen los primeros firewall 1 y es la puerta para iniciar el desarrollo de todas las técnicas antivirus, anti-troyanos, etc., conocidos hasta hoy. 1 Es un sistema diseñado para evitar accesos no autorizados desde o hacia una red privada.

22 22 En su estudio más reciente sobre este tema, el CERT (Computer Emergency Response Team), entidad encargada de la investigación de vulnerabilidades de seguridad en Internet y de redes interconectadas, informa que en el año 2003 se han producido más de incidentes de seguridad y que se ha informado de más de vulnerabilidades. Si se comparan estos datos con los primeros publicados en 1988, que recogían 6 incidentes y 171 vulnerabilidades, uno se puede dar cuenta de lo mucho que ha evolucionado la seguridad informática, o inseguridad, según se mire, en los últimos 15 años. Por su parte, el estudio sobre seguridad y crimen informático del Computer Security Institute (CSI), arroja datos en los que se estiman las pérdidas de los sistemas analizados en más de 141 millones de dólares por problemas de seguridad. Esta cantidad impulsa la teoría de que en seguridad informática el dinero siempre se gasta: o bien antes, en proteger o bien posteriormente, en recuperar. En el año 2003, mientras que tecnologías como cortafuegos y antivirus tiene un despliegue cercano al 100%, la biometría, los sistemas de prevención de intrusiones (IPS) y las infraestructuras de clave pública (PK1) están todavía por debajo del 50%. Los sistemas para el cifrado de datos en tránsito, los sistemas de detección de intrusiones (IDS) y las listas ACL para control de accesos al sistema de archivos están rondando un despliegue en torno al 75%. Estos datos facilitados por el CSI vislumbran un futuro prometedor para la

23 23 seguridad informática y un largo camino por recorrer (Álvarez y Pérez, 2004, p.21). Como ya ha sido evidenciado, la evolución de los problemas informáticos ha sido realmente progresiva y las organizaciones han empezado a tomar medidas al respecto. Expertos en el tema, sugieren dividir en secciones este proceso para facilitar su comprensión y posterior intervención, teniendo en cuenta que, de acuerdo a la historia, el problema se fortaleció con la aparición y consolidación de Internet. En la última década se han estado realizando diferentes estudios e investigaciones, concernientes al ámbito de la seguridad de la información, debido a la vertiginosa evolución tecnológica que ha tenido lugar alrededor del mundo. Es así como se han ido desarrollando proyectos e investigaciones enfocados en varios aspectos relacionados con esta disciplina. Sánchez y Segura (2006), en su tesis denominada El Retorno de la Inversión en la Seguridad Informática, establecieron guías, modelos, estándares o metodologías que permiten calcular los beneficios que una organización puede percibir al realizar una inversión en el campo de la seguridad informática, pero su principal aporte es la propuesta de un guía metodológica abierta, es decir, disponible libremente para quien desee calcular el retorno de la inversión en este campo, al ser implementada. Para Castillo y Romero (2008) en su proyecto Informática Forense Orientada a Dispositivos Móviles, entregaron una propuesta metodológica para el análisis forense, orientado a incidentes en dispositivos móviles; allí se evidencia como el crecimiento tecnológico, aumenta también el riesgo y la vulnerabilidad propios de estos dispositivos.

24 24 Wood (2002), define de diferentes maneras el concepto de política de seguridad, además de entregar procedimientos claros para su elaboración y justifica infaliblemente su importancia a nivel organizacional. Internacionalmente, los estudios realizados en esta área se han caracterizado por el rigor en las investigaciones y el aporte que éstos han suministrado a la disciplina en general, aumentando cada día más el interés por parte de las organizaciones, en respaldar, proteger e inmortalizar su valiosa información. Este es el caso de la Norma ISO 27002, que define claramente el término seguridad de la información, el análisis de riesgo, la revisión de requisitos y la estructura en general de una política de seguridad, contribuyendo a la formación y a la puesta en práctica de métodos y procedimientos que garanticen la protección de la información. De acuerdo con lo anterior y para darle una profundidad mayor al objeto de estudio, se hace necesario definir algunos términos relevantes: Concepto de seguridad. Referirse a seguridad en cualquier ámbito sugiere un proceso organizado para garantizar la integridad de la entidad custodiada. Es, en general, susceptible a riesgos constantes y debe permanecer en supervisada para contrarrestarlos antes de que se genere un perjuicio. En otras palabras, la seguridad es el resultado de operaciones realizadas por personas y soportadas por la tecnología (Canal, 2006, p.26). Siempre el ser humano debe apoyarse en herramientas sencillas, complejas, costosas o no, para proteger sus bienes, productos o servicios.

25 Seguridad informática. Se define como la disciplina encargada de diseñar las normas, procedimientos, métodos y técnicas, orientadas a proveer condiciones seguras y confiables para el procesamiento de datos en sistemas informáticos. Según Canal (2006), la definición de seguridad informática se resume en cinco aspectos que se deben garantizar. Estos son: Confidencialidad: Consiste en dar acceso a la información sólo a los usuarios autorizados. Control de Accesos: Consiste en controlar el acceso a recursos de usuario autorizados. Disponibilidad: Consiste en la posibilidad de acceder a la información o a utilizar un servicio siempre que se necesite. No Repudio: consiste en la imposibilidad de negar la autoría de un mensaje o información del que alguien es autor. Integridad: consiste en garantizar que una información o mensaje no han sido manipulados. Es importante tener en cuenta que seguridad no significa restricción total. Tener contraseñas para todo o negar accesos a diestra y siniestra no garantizarán la seguridad; por el contrario van a afectar la productividad de la organización, ya que los usuarios tendrán que reportar fallas de acceso a sus propios programas o aplicaciones. Implantar estos cinco aspectos genera una inversión de tiempo y dinero considerable, por lo cual se debe evaluar inicialmente el tamaño de la organización y los recursos disponibles. Existe una relación estrecha entre seguridad y calidad. Cuando nuestras expectativas se cumplen, consideramos que hay calidad (Álvarez y Pérez, 2004, p.16). Si la información es el activo intangible más importante de la organización y como tal se

26 26 protege y se logra que no haya intrusión alguna, se puede hablar de calidad. (Álvarez y Pérez, 2004) divide en seis partes esta disciplina Generalidades de la seguridad de la información para empresas y particulares. La Seguridad de la Información para Empresas y Particulares es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informáticos (Álvarez y Pérez, 2004, p.2). La palabra Riesgo es definida, según la Real Academia de la Lengua, como la posibilidad de que algo falle. Es una medida cuantitativa de la importancia de un incidente que es mayor cuanto mayor es su impacto y probabilidad (Canal, 2006, p.21). Los riesgos no se pueden eliminar en su totalidad, pero si pueden controlarse. Para esto es importante iniciar la planeación de un proceso completo de seguridad, desde el diagnóstico de los riesgos y lo que implica, económicamente hablando, cada uno de ellos para la organización, teniendo en cuenta que no es suficiente con tener instalado el mejor antivirus o sistema de cifrado, se debe proteger el software, el hardware y la red en general, contemplando también los riesgos que pueden surgir por parte del factor humano. Este es un proceso que no termina y que debe estar en constante evaluación y evolución. Todo usuario o empresa tiene la expectativa de que todo lo que haga esté correcto, que haya garantía en cuanto a almacenamiento y a la integridad de la información que manipula; pero ésta a su vez, puede ser blanco de fraude, ya sea por personas externas o por los mismos usuarios de la organización. La información puede ser manipulada de muchas maneras y todas ellas son definidas como ataques informáticos. Puede hablarse de inserción, modificación, intercepción e interrupción de la información, complementados con una falla provocada de hardware o software y en todas ellas, el común denominador es beneficiar los intereses de un tercero.

27 27 Las herramientas de seguridad han sido diseñadas por expertos pensando siempre en prevenir, detectar y recuperar y es tarea del administrador de sistemas seleccionar la mejor de cada una de ellas para garantizarla. Debe contarse con las tres a la vez, dado que no tiene sentido solo prevenir o solo detectar o solo dedicarse a recuperar lo que se pierde. Cada medida de seguridad que se tome debe estar totalmente contextualizada, con el fin de evitar implantar soluciones que no satisfagan esas expectativas que se desean cumplir. Es importante y clave también, evaluar su facilidad de adquisición y manejo, costo, mantenimiento y operación. Analizar si es necesario que vaya combinada con un software o hardware para garantizar los resultados esperados. Para determinar un riesgo se puede utilizar la relación amenaza + vulnerabilidad. Amenaza: reúne todos los componentes que pueden atacar un sistema. Cualquier circunstancia potencial que pueda afectar los procesos o expectativas de la organización (Canal, 2006, p.24). Vulnerabilidad: punto en el que un recurso es susceptible de ataque. Al realizar esta relación, se puede cuantificar el daño que se causaría si la amenaza cumpliera su objetivo y obviamente sería directamente proporcional al grado de vulnerabilidad del sistema (Canal, 2006, p.24). Malware: todo software dañino para los sistemas, englobándose dentro del término a virus, gusanos y troyanos (Canal, 2006, p.24). Virus: son programas normalmente dañinos que se añaden a ficheros ejecutables y tiene la propiedad de ir replicándose por los sistemas y/o ficheros adyacentes. Los virus informáticos pueden causar muertes de sistemas (Canal, 2006, p.24).

28 28 Gusanos: son piezas de código que se replican por la red de forma automática, para lo que se valen de vulnerabilidades de sistemas o del desconocimiento de los usuarios. Como resultado del proceso de copia masivo, los gusanos pueden saturar el ancho de banda de la red o utilizar todo el espacio de disco de un sistema, por lo que los costes de indisponibilidad que provocan son considerables (Canal, 2006, p.24). Troyano: son programas que poseen puertas traseras y son invocados por los intrusos (Canal, 2006, p.24) Anonimato y privacidad. Esta parte del estudio de la Seguridad de la Información, sugiere que el anonimato y la privacidad son términos de manejo relativo, sobre todo si se está en entorno web. Todos piensan que al navegar por Internet se está totalmente libres de que alguien se entere de nuestras visitas, rutinas o trámites. Se interpreta mal el término anonimato y se piensa que se goza de privacidad. Cualquier navegador permite guardar el rastro de todo lo que se hace en la web; incluso a través de la dirección IP se puede rastrear una persona, a través de las cookies se puede encontrar información personal o de contraseñas y ni hablar del historial que permite hacer seguimiento de las páginas visitadas. Entonces surge la pregunta: Qué tan privado y tan anónimo es lo que hace cada persona? Existen muchas maneras de contrarrestar esta amenaza constante que de manera silenciosa se tiene en los computadores personales. Estas consisten en el manejo de proxies para la navegación web, la protección contra cookies, el manejo del spyware 2 y del correo electrónico. 2 Es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador.

29 Confidencialidad, integridad, disponibilidad. Como ya fue evidenciado, varios autores confirman que estos tres pilares son vitales en el tema de seguridad informática. Si todos están completamente alineados y controlados, se puede decir que los datos están bien custodiados. Es aquí donde se introduce el término cifrado, que corresponde a aplicar algoritmos de clave secreta que permiten guardar los datos de muchas aplicaciones accedidas por una contraseña distinta, en una sola contraseña robusta. Los datos no podrán ser accedidos sin ella, así tenga el atacante, acceso al disco. El manejo de contraseñas debe ser totalmente controlado, estable y bien diseñado para que el éxito en la confidencialidad se asegure. En cuanto a la integridad, es importante garantizar que los datos que se manipulan o consultan estén siempre correctos y sin alteraciones. Es impedir a toda costa que personas no autorizadas accedan a información que no les compete. Las copias de seguridad de los datos juegan un papel vital en este punto, dado que el hecho de perder información atenta contra la estabilidad de la organización. Existen técnicas muy bien respaldadas para tal fin. La disponibilidad proporciona una garantía de que la información siempre será accesible, sin interrupciones ni fallos, a cualquier hora. Es una tarea sumamente ardua, dado que el administrador debe estar pendiente de todo lo concerniente a fallos de hardware, suministro de energía, accidentes naturales o artificiales, de ventilación, etc., así como de diseñar planes de contingencia ante posibles inconvenientes. En este ítem, de igual manera, las copias de seguridad son importantes al momento de tener la necesidad de restaurar una de ellas, por presentarse un episodio de no acceso a un recurso o programa. En la Figura 1 puede entenderse de una mejor manera, la importancia de estos tres pilares o fundamentos en seguridad:

30 30 Figura 1. Confidencialidad, integridad, disponibilidad. Fuente: (Guel, Michele D; SANS Institute, 2007) Seguridad en las redes. Reduce toda la teoría al término firewall. Es un mecanismo que protege a la red de intrusiones por parte de entes o personas externas a ella. El éxito de esta práctica, se centra en la administración correcta y controlada de todos sus componentes. La protección no sólo debe hacerse de manera lógica, sino también física, ya que los dispositivos que permiten la comunicación también son susceptibles de ataques.

31 Protección a los equipos. Este elemento centra su atención especial hacia el fortalecimiento en la seguridad del sistema operativo, buscando soluciones que permitan minimizar las vulnerabilidades de cada estación de trabajo. Este proceso va muy ligado a la política de seguridad de la organización, ya que el correcto funcionamiento y acatamiento de ella, facilita la administración del sistema operativo y por ende de sus herramientas de seguridad Auditoría, detección de intrusiones y análisis forense. Es el complemento perfecto para llevar a cabo un proceso global de seguridad de la información. Es a la vez complejo, costoso y muy pocas personas tienen acceso a él. Permite realizar una revisión mecánica, no crítica, del manejo, administración y mantenimiento de la política de seguridad y sus implicaciones. Se especializa en detectar intrusiones con herramientas avanzadas y analizar desde el punto de vista forense, los ataques que se lleven a cabo, con el fin de determinar causas, lugares y autores, con un enfoque netamente investigativo, para hallar culpables y aplicar leyes, si existen. Las fuentes consultadas fueron de gran utilidad para el desarrollo del proyecto, por ser las más actualizadas y detalladas con respecto al tema. No manejan el tema de manera global sino que dividen muy bien cada uno de los temas para facilitar el aprendizaje Política de seguridad. Una vez asimilados estos seis frentes de la seguridad informática, según el autor, es necesario revisar distintas definiciones del término Política de Seguridad. La definición general de Política, según SANS 3 (SysAdmin, Audit, Network Security) es: instrucción formal, breve y de alto nivel, o plan que abarca una organización en general 3 Entidad dedicada a la certificación, entrenamiento e investigación en Seguridad.

32 32 con respecto a sus creencias, metas y objetivos y un procedimiento aceptable para un área específica. Los atributos de la política deben incluir: La exigencia de su cumplimiento. Su incumplimiento debe dar lugar a una acción disciplinaria. Debe centrarse en los resultados deseados, no sobre los medios de ejecución. Debe ser definida por las normas y directrices de la organización. La Real Academia de la Lengua Española, entrega dos definiciones más, que complementan el concepto de política: Estándar o norma: Acción de obligatorio cumplimiento o regla destinada a apoyar y ajustarse a una política. Un estándar debe hacer una política más significativa y eficaz, debe incluir una o más especificaciones aceptadas para el hardware, software o el comportamiento. Las normas o estándares son generalmente escritas para describir algunos requisitos a cumplir, y pretenden explicar una acción o regla obligatoria y está escrita en relación con una política. Guía o directriz: Declaraciones generales, recomendaciones o instrucciones administrativas designadas para hacer cumplir los objetivos de la política, proporcionan un marco para dar cumplimiento a los procedimientos. Esta guía puede cambiar frecuentemente basada en el ambiente, y debe ser revisada con más frecuencia que las normas y políticas. Una guía no es obligatoria, más bien una sugerencia de las mejores prácticas, por lo tanto directrices y mejores prácticas son intercambiables.

33 33 Con base en lo anterior, se puede decir que la política define el porqué, la norma o estándar el qué y finalmente la guía o directriz el cómo (Guel, Michele D; SANS Institute, 2007). En la Figura 2 se aprecia la relación entre políticas, normas o estándares y guía o directriz, la guía describe las mejores prácticas en cómo hacer algo, las normas lo que son los requisitos básicos a cumplir y las políticas describen las acciones que se requieren tomar y porqué. Procedimiento. Se define como una serie de medidas adoptadas para lograr un objetivo final. Los Procedimientos definen "cómo" proteger los recursos y son los mecanismos para hacer cumplir las políticas. Los procedimientos ayudan a eliminar los problemas en un punto de fallo específico, por ejemplo la renuncia de un empleado o que no esté disponible en un momento de crisis. Los procedimientos son tan importantes como las políticas, las políticas definen que va a ser protegido y las reglas de juego, los procedimientos describen cómo van a ser protegidos los recursos o cómo llevar a cabo las políticas. En lo que a impacto de las políticas se refiere, está permite evaluar los cambios introducidos y cómo afectarán la empresa o las acciones que debe tomar la gente para estar compatible a la política, además proporciona una razón o justificación de la actualización de la política, o la nueva política como tal. En algunos casos esta evaluación solo es revisada por los administradores de la seguridad en la organización.

34 34 Figura 2. Relación entre políticas, normas o estándares y guía o directriz. Fuente:(Guel, Michele D; SANS Institute, 2007) Continuando con las diferentes definiciones de política de seguridad, se tiene de acuerdo a Wood (2002), las políticas son definidas como: Instrucciones gerenciales que trazan una dirección predeterminada o describen la manera de manejar un problema o situación. Planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras. Requisitos generalizados que deben ser escritos en papel y comunicados a ciertos grupos de personas dentro, y en algunos casos fuera, de la organización. Son obligatorias y pueden considerarse el equivalente de una ley propia de la organización. Por su parte, Álvarez y Pérez (2004), aseguran que las políticas de seguridad definen las reglas que la organización espera sean seguidas por sus miembros y las consecuencias derivadas de no cumplirlas. Constituyen la piedra angular para la implantación de la seguridad.

35 35 "Aunque nos encantaría que fuese de otra manera, las políticas simplemente no pueden sacarse de un estante, redactarse, aprobarse mediante un fácil proceso burocrático y emitirse, sino que deben adaptarse a las necesidades específicas de cada organización" (Wood, 2002). "Una política de seguridad de la información completa y sólida suele comprender tres tipos de políticas de seguridad: Política de Seguridad de la Información a nivel empresarial (Enterprise Information Security Policy o EISP): cubre aspectos de interés para toda la empresa. Es la primera en crearse. A partir de ella se van elaborando las demás centradas en resolver problemas específicos. La política no debe experimentar cambios frecuentes, pues perdería credibilidad, debe ser firmada por la alta dirección y estar en consonancia con la estrategia general de la organización. Políticas de seguridad de asuntos específicos (Issue-Specific Security Policy o ISSP): se ocupa de asuntos específicos, como un determinado servicio de red, departamento o función, que no atañe a la organización en su conjunto. Normalmente constituyen una guía detallada para instruir a todo el personal en el uso de sistemas basados en la tecnología. Su propósito no es perseguir las acciones de los usuarios sino sentar las bases de lo que considera un uso adecuado e inadecuado de la tecnología. Pueden cubrir temas como uso del correo electrónico, uso de la navegación web, uso de fotocopiadoras e impresoras, uso del teléfono, uso de recursos de la empresa en el hogar, etc.

36 36 Políticas de Seguridad de sistemas específicos (System-SpecificPolicy o SysSP): se concentran en sistemas individuales o tipos de sistemas y prescriben el hardware y software aprobados, delinean métodos para fortalecer un sistema o especifican los tipos de cortafuegos u otras medidas de control. Normalmente funcionan como estándares o procedimientos a la hora de configurar o mantener sistemas." (Álvarez y Pérez, 2004, p.39) El Instituto norteamericano SANS (SysAdmin, Audit, Network Security) la define como una instrucción formal, breve y de alto nivel o plan que abarca a una organización en general, con respecto a sus creencias, metas, objetivos; como un procedimiento aceptable para un área específica. Además, sugiere un ciclo de vida de la política de seguridad, el cual se visualiza y se explica en la Figura 3. Figura 3. Ciclo de vida de la política de seguridad. Fuente: (Guel, Michele D; SANS Institute, 2007)

37 37 Se comienza en la esquina superior izquierda con la revisión de la política si ya existe, con el fin de actualizarla o crear una nueva. Para ambos casos, el documento pasa a ser revisado por expertos en la materia como se muestra en la Figura 3 (SME "Subject Matter Experts" Review). En el proceso de revisión de la política muchas veces se ven involucradas diferentes partes de la organización como recursos humanos y legales, además del equipo de seguridad de la empresa. Una vez que la política ha sido revisada por los diferentes departamentos, debe ser aprobada por un comité directivo para posteriormente ser publicada en el sitio web interno de la organización y comunicarla a la comunidad de usuarios. En el caso de organizaciones globales, se hace necesario traducirla a diferentes idiomas, además de transmitirla a proveedores y socios. En este punto se inicia el proceso de implantación, donde juega un papel muy importante la planificación. "Es importante resaltar que una política de seguridad tiene un ciclo de vida completo mientras está vigente. Este ciclo de vida incluye un esfuerzo de investigación, la labor de escribirla, lograr que las directivas de la organización la acepten, conseguir que sea aprobada, lograr que sea diseminada a través de la empresa, concienciar a los usuarios de la importancia de la política, conseguir que la acaten, hacerle seguimiento, garantizar que esté actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar políticas que sean poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, superfluas o irrelevantes" (Universidad Nacional de Colombia, 2003).

38 38 De acuerdo con lo anterior, la Guía para la Elaboración de Políticas de Seguridad, emitida por la Universidad Nacional de Colombia en el año 2003, sugiere un conjunto de etapas necesarias y básicas para iniciar el desarrollo de la política de seguridad informática: Como puede evidenciarse, la elaboración de una política de seguridad no puede ser un proceso acelerado, sin seguimiento, sin control. Debe ser una práctica organizada y secuencial que garantice la calidad de su contenido y de la ejecución de sus distintas etapas. Es en este punto, donde el término planificación debe ser aplicado. Figura 4. Guía para la Elaboración de Políticas de Seguridad. Fuente: Universidad Nacional de Colombia. Guía para la Elaboración de Políticas de Seguridad, Planificación del proceso de seguridad informática. "Cuando se improvisa sobre la marcha, se va reaccionando a las amenazas según éstas se presentan" (Álvarez y Pérez, 2004). El hecho de tomar medidas seguras solo cuando ocurre un evento desafortunado, muestra la falta de compromiso, de planeación y de desorden. Si bien se van corrigiendo falencias, difícilmente se llegará a proteger de manera integral la información.

39 39 Es por esto que un componente clave para la buena marcha del negocio es la planificación. Para un adecuado diseño y planificación de una política de seguridad informática, es importante contar con una metodología a seguir, que de acuerdo a las posibilidades y al tipo de organización a impactar, sea adecuada y vaya acorde con los objetivos de la misma. Partiendo de esta premisa, (Álvarez y Pérez, 2004), destacan algunos conceptos fundamentales de este importante proceso: La planificación estratégica: Se realiza en los niveles directivos más altos y se ocupa de los objetivos a largo plazo de la organización, normalmente cinco o más años y se centra en objetivos específicos de seguridad de la información. La planificación táctica: Se deriva de la planificación estratégica y se centraliza en unos objetivos más concretos y en el corto plazo, con fechas fijadas para su consecución. Ejemplo: "Todo el personal de la empresa debe recibir formación y concienciación en seguridad". La planificación operativa: Se deriva de los planes tácticos y se encarga de organizar las tareas del día a día; incluye objetivos como la selección, configuración y despliegue de herramientas para la seguridad como un ejemplo. De esta manera, se va dando forma concreta a los objetivos tácticos (Álvarez y Pérez, 2004). Para una correcta planificación, es importante adoptar una metodología a seguir; es importante evaluar una serie de propuestas internacionales en el contexto de la seguridad de la información, que permita detectar la más adecuada para ser aplicada a la organización. Al seguir un marco internacional que defina las mejores prácticas relacionadas con la seguridad de la información y el gobierno de TI, se garantiza una calidad y confiabilidad en

40 40 los estándares adoptados, pero esté debe ser consistente con el marco de control y la gestión de riesgos de la empresa, apropiada para ella e integrada con otras metodologías y prácticas que estén siendo utilizadas. De acuerdo con él (ITGI (IT Governance Institute), 2007), "Los estándares y las mejores prácticas no son una panacea; su efectividad depende de cómo se implementan y mantienen. Estas son mucho más útiles cuando son aplicadas como un bloque de principios y como un punto de partida para adaptar procedimientos específicos. Para evitar prácticas que nunca se pongan en ejecución ( shelfware ), la dirección y el staff deben entender lo que hay que hacer, cómo hacerlo y porqué es importante hacerlo." Además teniendo en cuenta la estrategia de las empresas hoy por hoy, el uso de las tecnologías de información se ha convertido en un factor crítico para el negocio. "El uso de las Tecnologías de la Información (TI) tiene el potencial para ser el mayor impulsor de riqueza económica en el siglo 21. Además de que TI ya es crítica para el éxito empresarial, proporciona oportunidades para obtener una ventaja competitiva y ofrece medios para incrementar la productividad, e incluso hará aún más en el futuro. TI también implica riesgos. Es evidente que en estos días de negocios globales, la caída de los sistemas y las redes puede resultar muy costosa para cualquier empresa. En algunas industrias, TI es un recurso competitivo necesario para diferenciarse y obtener una ventaja competitiva, mientras que en otras, no sólo determina la prosperidad sino la supervivencia". ITGI, Board Briefing on IT Governance, 2nd Edition, USA, 2003 (Citado por ITGI y OGC, 2008) Marcos para la definición de políticas. En este proyecto se presentan algunos marcos para la definición de políticas, entre ellos están: COBIT e ITIL, ISO27000, SSE-

41 41 CMM; se identifican los recursos requeridos y criterios propuestos en cada uno de ellos, para determinar al final, cuál es el más apropiado para su formulación y posterior diseño al interior de Apostar S.A. COBIT. Cobit (Control Objectives for Information Systems and related Technology), Objetivos de Control para los Sistemas de Información y la Tecnología Relacionada Es un modelo para el gobierno de la TI desarrollado por la ISACA (Information Systems Audit and Control Association) y el IT Governance Institute (ITGI). Este modelo, representa el esfuerzo de cientos de expertos voluntarios alrededor del mundo, tiene 34 objetivos de alto nivel y objetivos secundarios clasificados en cuatro dominios. Las organizaciones actuales dependen en gran parte de las TI para cumplir sus objetivos misionales, así como las necesidades del negocio. Para que esto ocurra de una manera eficiente y controlada, la empresa debe asegurar que sus procesos y servicios: Satisfacen la necesidad de la empresa y sus usuarios Cumple con la legislación Se asignan y entregan de manera eficaz y eficiente Se revisan y mejoran de manera continua La misión de COBIT es investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. (Consultado el 10 de Octubre, En: COBIT permite de acuerdo a normas técnicas internacionales, un conjunto de mejores prácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI, necesarias para

42 42 alinear el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de la organización. "Debido a que COBIT es un conjunto de herramientas y técnicas probadas y aceptadas internacionalmente, su implementación es una señal de buena gestión en una organización. Se pueden esperar resultados como los siguientes al adoptar COBIT: Los gerentes y el staff 4 de TI entenderán totalmente como es que el negocio y TI pueden trabajar en forma conjunta para la entrega exitosa de las iniciativas de TI. TI entregará proyectos de mejor calidad y más exitosos. Los requisitos de seguridad y privacidad serán más claros y la implementación será monitoreada con mayor facilidad. Los riesgos de TI serán gestionados con mayor eficacia. Las auditorías serán más eficientes y exitosas. El cumplimiento de TI con los requisitos regulatorios serán una práctica normal de gestión" (Consultado el 10 de Octubre, En: ( ITIL-v3-y-ISO en-beneficio-de-la-empresa-v2,7.pdf, p.13) Este marco permite a cualquier empresa que lo adopte, ajustar sus objetivos misionales y dirigir de una manera óptima el uso de TI, permite además la definición de un plan estratégico para definición de arquitectura, adquisición de hardware y software necesario para asegurar la continuidad del negocio. 4 Conjunto de personas que, en torno y bajo el mando del director de una empresa o institución, coordina su actividad o le asesora en la dirección

43 43 Cobit abarca un área amplia en la estrategia del negocio, pasando por todos los departamentos de la organización e involucrando a todos y cada uno de ellos, como consecuencia de ello se identifican los puntos neurálgicos en la organización y se gestionan los riesgos y las vulnerabilidades de una manera más eficiente. ISACA es el proveedor líder mundial de conocimiento, certificaciones, comunidad, apoyo y educación en seguridad y aseguramiento de sistemas de información, gobierno empresarial de TI y riesgos y cumplimiento relacionados con la TI. (Consultado Octubre 10, 2010 En: El IT Governance Institute (Instituto de Gobierno de TI) (ITGI) es un organismo independiente de investigación, sin fines de lucro, que provee guía para la comunidad global de negocios en asuntos relacionados con el gobierno de los activos de TI. El ITGI fue establecido por la asociación sin fines de lucro ISACA en (Consultado Octubre 10, En: ITIL "Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos" (Consultado Octubre 10, En: ( _es_itil/que_es_itil.php) ITIL es un marco de trabajo público que describe las mejores prácticas en la administración de servicios de TI, provee un marco de trabajo para el gobierno de TI y se enfoca en la continua medición y el continuo mejoramiento de la calidad de los servicios entregados (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS).

44 44 Fue desarrollada ya que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos corporativos. "ITIL intenta respaldar mas no fijar los procesos de negocio de una organización". (Consultado Octubre 10, En: Center/Research/Documents/Alineando-Cobit-4.1,-ITIL-v3-y-ISO en-beneficio-dela-empresa-v2,7.pdf) Con base en lo anterior, ITIL brinda una orientación a nivel organizacional bajo, y resume un extenso conjunto de procedimientos de gestión con el fin de ayudar a las organizaciones a lograr la calidad y eficiencia en todo tipo de operaciones alrededor de TI. En la Figura 5 se aprecia la evolución que ha tenido ITIL con el paso del tiempo, para una correcta estructuración de su estrategia: Figura 5. Evolución de la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL). Fuente: (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS, 2007)

45 45 En su última versión, ITIL ha pasado de ser un marco de trabajo basado en procesos, a una estructura integral que refleja el ciclo de vida de los servicios de TI. Soporte ITIL a la seguridad de la información ITIL busca alinear los objetivos de seguridad de TI, con los objetivos de seguridad del negocio, para poder asegurar la denominada trilogía de la seguridad, además de la autenticidad y fiabilidad de la información, para así garantizar la continuidad y protección de la información y contribuir a minimizar el daño al servicio por fallas de seguridad (Mayorga, VIII Jornada Nacional de Seguridad Informática ACIS, 2007) Permite administrar la continuidad y disponibilidad del negocio, permitiendo así reducir costo y tiempo en caso de sufrir una catástrofe. También brinda soporte a la administración de acceso por parte de los usuarios, verificando la autenticidad y los derechos de los mismos. ITIL es un marco válido para aquellas empresas que requieran alinear todos los procesos y el ciclo de vida del negocio, permitiendo direccionar los objetivos hacia la optimización de la estructura organizacional, y como tal se debe tener en cuenta el tiempo necesario para su correcta implantación ya que se deben revisar todos los procesos que se ven involucrados en dicha propuesta. (Office of Government Commerce.ITIL Refresh Statement. Consultado Octubre 10, En: ISO "El marco IT Security Code of Practice, desarrollado inicialmente con la ayuda de la industria, se convirtió en BS 7799 y luego en ISO/IEC 17799, y ahora, en ISO/IEC 27002, el primer estándar internacional de gestión de seguridad" ( ITGI y OGC, 2008).

46 46 En sus primeras versiones, desarrolladas por la British StandardsInstitution (BSI), la BS :1999 abarcaba un código de buenas prácticas para la gestión de la seguridad de la Información así como una serie de especificaciones con guías para su uso. Así pues, fue publicada la primera versión en el año 2000, con posterior actualización en 2005, posteriormente se utilizó el término ISO/IEC para describir lo que en la actualidad son dos documentos diferentes: ISO/IEC (ahora renombrada como ISO 27002, (Consultada Octubre 10, En: Htm?csnumber = 50297). Un conjunto de controles de seguridad (un código de práctica). ISO/IEC (Consultada Octubre 10, En: anteriormente, BS7799 2). Una especificación estándar para un sistema de gestión de seguridad de información (SGSI). (ITGI y OGC, 2008). El objetivo principal de la norma ISO/IEC 27002:2005 es brindar información a los responsables de la implementación de seguridad de la información de una organización. Se constituye como una de las mejores prácticas actuales en materia de normas de seguridad y prácticas de gestión en una organización. En este marco se definen las estrategias de 133 controles de seguridad organizados bajo 11 dominios, en el que se destaca la gestión del riesgo, aclarando que no es completamente necesario aplicar cada parte, sino aquellas que se consideren relevantes. La norma posee una serie de requisitos rectores de los que se debe partir para la implementación de la seguridad de la información y las mejores prácticas generalmente aceptadas, entre ellas se encuentran:

47 47 Requisitos Legales La protección y la no divulgación de datos personales. Protección de la información interna. Protección de los derechos de propiedad intelectual. Mejores Prácticas La política de seguridad de la información. Asignación de la responsabilidad de seguridad de la información. Escalamiento de problemas. Gestión de la continuidad del negocio. Cuando se implementa un sistema de gestión de seguridad de la información, se deben considerar varios factores críticos de éxito: La política de seguridad, sus objetivos y actividades deberían reflejar los objetivos de negocio. La implementación debería considerar los aspectos culturales de la organización. Se requiere un abierto apoyo y el compromiso de la alta dirección. Se requiere un conocimiento exhaustivo de los requisitos de seguridad, evaluación del riesgo y gestión del riesgo. El marketing efectivo de la seguridad debe dirigirse a todo el personal, incluidos los miembros de la dirección. La política de seguridad y las medidas de seguridad deben ser comunicadas a terceros contratados. Los usuarios deben ser capacitados en forma adecuada.

48 48 Se debería disponer de un sistema integral y balanceado para la medición del desempeño, que apoye la mejora continua de suministro de información. (ITGI y OGC, 2008) Teniendo en cuenta lo anterior, se puede apreciar el énfasis de la norma en las políticas de seguridad de la organización como uno de los principales factores a tener en cuenta, así como la gestión del riesgo y los planes de continuidad del negocio. SSE-CMM El SSE-CMM (Systems Security Engineering Capability Maturity Model) o (Modelo de Madurez de Capacidades en la Ingeniería de Seguridad de Sistemas), es un modelo de referencia de procesos que se centra en los requisitos para la implementación de la seguridad en un sistema. Ha sido desarrollado por la "International Systems Security Engineering Association (ISSEA)", organización sin ánimo de lucro patrocinada por un buen número de compañías dedicadas a la seguridad de sistemas. Su intención, es que la organización haciendo uso del modelo SSE-CMM debe utilizar sus procesos existentes, para que basados en ellos se orienten hacia la ITS (Information Technology Security) o (Seguridad de las tecnologías de la información), el ámbito de aplicación abarca: El sistema de actividades de ingeniería de seguridad, de un producto seguro o de un sistema de confianza, abordando el ciclo de vida completo: definición del concepto, análisis de requerimientos, diseño, desarrollo, integración, instalación, operación, mantenimiento y puesta a punto final.

49 49 Requisitos para los desarrolladores de producto, desarrolladores e integradores de sistemas seguros, organizaciones que prestan servicios de seguridad informática y la ingeniería de seguridad informática. Se aplica a todo tipo y tamaño de organizaciones de ingeniería en seguridad comercial del gobierno y de la academia (Model Description Document Version 3.0, 2003) El documento general consta de 7 capítulos: Introducción, conceptos de CMM, Arquitectura del modelo, usando SSE-CMM, prácticas generales, prácticas de seguridad de base, proyecto y prácticas de la organización de base, además de un apéndice de referencia rápida. Este es un modelo enfocado a evaluar la capacidad de seguridad en ingeniería, pero esto no implica que se aplique de forma aislada de otras disciplinas, al contrario SSE-CMM promueve la integración teniendo como base que la seguridad es un fenómeno generalizado a todas las áreas o disciplinas por ejemplo: sistemas, software, hardware, su característica principal es "Coordinar las prácticas de Seguridad" e integrarlas con todas las disciplinas y grupos que participan en un proyecto o una organización. En el contexto de la Ingeniería de Seguridad, se debe tener en cuenta que esta disciplina ha cobrado mayor importancia ya que con la creciente dependencia de la sociedad de la información, la protección de dicha información es cada vez más importante. El enfoque de la ingeniería de seguridad se ha ampliado para la salvaguarda de procesos tan importantes como: Datos clasificados del gobierno, transacciones financieras, acuerdos contractuales entre otras, tendencias que han elevado la importancia de la ingeniería de seguridad.

50 50 De acuerdo al SSE-CMM, este modelo es aplicable a una gran variedad de organizaciones que quieran practicar la ingeniería de seguridad en su equipo de desarrollo ya sea para programas como software de sistemas operativos, administración de seguridad y cumplimiento de funciones. Y algunas de estas organizaciones se ocupan en cuestiones de alto nivel (por ejemplo considerar el uso de la arquitectura del S.O) mientras que otras se centran en los temas de bajo nivel (por ejemplo un mecanismo de selección de diseño), es decir las organizaciones se pueden especializar en un determinado tipo de tecnología, o en un contexto especial (ejemplo: el mar). El SSE-CMM está diseñado para este tipo de organizaciones, la organización debe analizar las diferentes relaciones entre las diferentes prácticas dentro del modelo para poder así determinar su aplicabilidad La seguridad informática en este entorno. Con el apoyo de una herramienta de evaluación en el área de seguridad informática creada por Microsoft, llamada Microsoft AssesmenteTool (MSAT), en su versión de prueba, se realizó un diagnóstico en dos empresas de apuestas de Colombia, en cuatro empresas ubicadas en la ciudad de Pereira y por supuesto, en la empresa objeto de estudio: Apostar S.A., con el fin de contextualizar el problema de la seguridad informática, a nivel empresarial. El aplicativo en mención clasifica y centra la seguridad informática en 4 niveles dentro de la organización, como son: Infraestructura: Estado de la organización en su infraestructura de red y hardware en general. Evalúa la defensa del perímetro, la autenticación y la gestión, el control y el mantenimiento.

51 51 Aplicaciones: Estado de la organización con respecto al manejo de las aplicaciones y a su disponibilidad. Evalúa la implementación y su uso, la seguridad en el diseño de aplicaciones y el almacenamiento y comunicación entre los datos. Operaciones: Valora las prácticas de funcionamiento y las normas que sigue la organización para aumentar las estrategias de defensa en profundidad. Evalúa la directiva de seguridad, la gestión de actualizaciones y revisiones, además de las políticas para copias de seguridad y su posterior recuperación. Personal: Valora las prácticas organizacionales encaminadas a socializar las prácticas de seguridad informática con sus empleados, así como evaluar el grado de conocimiento y de formación de cada uno de ellos. Aproximadamente en 40 minutos puede obtenerse un informe completo sobre el estado actual de la organización, conocer los riesgos más representativos, obtener recomendaciones y determinar así su plan a seguir para contrarrestar las amenazas encontradas. Está dirigido a los responsables de TI para dar visión de los niveles de seguridad globales de la empresa. Valora dos aspectos importantes que son visualizados gráficamente en el informe, como son: BRP = Medición del riesgo (RIESGO) DIDI = Medición de las defensas de seguridad (DEFENSA) Interpretación del gráfico perfil de riesgo vs índice de defensa. Se tiene en cuenta lo siguiente: La puntuación del BRP va de 0 a 100. Una puntuación más alta significa un riesgo posible aumentado al que está expuesta su empresa en esta área de análisis. Es

52 52 importante tener en cuenta que una puntuación de 0 no es posible; dedicarse a una actividad comercial siempre implica un nivel de riesgo. También es importante comprender que hay riesgos comerciales que no se pueden mitigar directamente. DIDI también tiene una puntuación de 0 a 100. Una puntuación más alta significa un entorno donde han tomado más medidas para implementar estrategias de DiD en el área de análisis específica. La puntuación DIDI no indica la eficacia general de la seguridad ni siquiera la cantidad de recursos para la misma, sino que cuantifica la estrategia global que se utiliza para defender el entorno. En principio, una puntuación baja del BRP y alta del DIDI parecería un buen resultado, pero no siempre es así. Está fuera del ámbito de la presente autoevaluación tener en cuenta todos los factores. Una disparidad significativa entre la puntuación del BRP y la del DIDI para un área de análisis específica significa que se recomienda una revisión del área. Cuando analice sus resultados, es importante tener en cuenta las puntuaciones individuales, tanto de BRP como de DIDI, y cómo se relacionan entre sí. Un entorno estable probablemente tendría como resultado puntuaciones iguales en todas las áreas. Disparidades entre las puntuaciones DIDI son un indicio de una estrategia general de seguridad concentrada en una sola técnica de mitigación. Si la estrategia de seguridad no abarca el personal, los procesos ni la tecnología, el entorno estará expuesto a un mayor riesgo de ataque. Por lo general, es mejor contar con una calificación de DIDI del mismo nivel que otra de BRP para la misma categoría. Un desequilibrio, ya sea dentro de una categoría o entre categorías, en cualquier dirección, puede indicar la necesidad de volver a alinear sus inversiones de TI.

53 53 Finalmente, MSAT permite realizar nuevamente la encuesta, con el fin de comparar en un lapso de tiempo, seleccionado por el profesional de TI, su estado con respecto al informe anterior y evaluar si fue eficiente al contrarrestar los riesgos encontrados.

54 54 8. Evaluaciones Realizadas 8.1 A Nivel Nacional APUESTAS OCHOA S.A. Empresa de apuestas permanentes del departamento de Quindío Figura 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Microsoft Assesment Tool En esta empresa, a nivel de aplicaciones, existe el nivel ideal, riesgo vs protección, que es en últimas el resultado que debería darse en todos los frentes. Se evidencia una protección mayor con respecto al riesgo en la parte de Infraestructura y de Operaciones y una protección mínima frente a un gran riesgo en la parte del personal. Sin embargo, a nivel general, las prácticas utilizadas en el área de seguridad en esta empresa, están bien orientadas. Debe revisarse la parte de recomendaciones del informe completo para ajustar las políticas y obtener la eficiencia en este importante proceso.

55 55 Cuadro 3. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool Confirmando lo expuesto anteriormente, se evidencia la necesidad de intervenir en el área de personal, de manera prioritaria y en general, la madurez de la seguridad debe mejorarse hasta llegar a la estabilidad de la misma. 8.2 Empresas Locales ASMET SALUD EPS Entidad de Salud del Régimen Subsidiado, ubicada en la ciudad de Pereira, con cobertura nacional. Figura 7. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool

56 56 Como es evidente, en esta empresa, la defensa contra los riesgos probables es alta, lo cual puede sugerir que hay demasiadas restricciones en el área de seguridad y que el nivel de riesgo no amerita un programa tan riguroso de seguridad. Se ve por ejemplo como el riesgo en el personal está en un 22% aproximadamente y la defensa está a un 63% aproximadamente. Cuadro 4. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool En el Cuadro 4 la interpretación se realiza simulando un semáforo. Donde lo que se encuentra en rojo, requiere intervención urgente; el amarillo indica que debe revisarse por precaución y el verde indica que se encuentra en un nivel adecuado. Como ya se explicó en el Cuadro 4, en el área de Operaciones y de Personal, la defensa vs riesgo es demasiado alta. ONCÓLOGOS DEL OCCIDENTE Empresa del sector de la salud, ubicada en el Departamento de Risaralda.

57 57 Figura 8. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool La Figura 8 evidencia el riesgo mínimo que tiene la empresa en sus cuatro frentes y como se protege de manera excesiva. Se ve por ejemplo que el riesgo en la parte de infraestructura está en un 11% aproximadamente y la protección sobre ella está a un 80%, lo cual es exagerado y tiende a restringir más de la cuenta el acceso a este frente. Cuadro 5. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool El Cuadro 5 confirma la información general del diagnóstico dado por la herramienta. La defensa ante los riesgos debe revisarse por estar sobre elaborada y en verde se ve la

58 58 madurez en seguridad. Debe existir un equilibrio entre ambas (riesgo y defensa) para que el plan de seguridad sea exitoso. 8.3 Empresa objeto de estudio APOSTAR S.A. Empresa de apuestas permanentes del departamento de Risaralda. Figura 9. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool Como se visualiza en la Figura 9, en Apostar S.A. la defensa contra los riesgos probables es mínima en términos generales. La parte de infraestructura está protegida con respecto a los riesgos, aunque no se nota un equilibrio entre la protección y el riesgo. Es por esta razón que se debe prestar especial atención al área de Aplicaciones, Operaciones y el Personal. En conjunto, representan los puntos neurálgicos que se definieron y es donde debe centrarse el diseño de la política de seguridad informática, que sin lugar a dudas, debe contar con la total participación del personal de la organización.

59 59 Cuadro 6. Perfil de riesgos para la empresa vs índice de defensa en profundidad informe resumido. Fuente: Fuente: Microsoft Assesment Tool El Cuadro 6 confirma los resultados del diagnóstico y del análisis del riesgo contra su defensa. En conclusión, con respecto a empresas que explotan la misma actividad económica, es la que requiere intervención urgente previendo posibles ataques premeditados o accidentales que puedan ir en detrimento de los objetivos organizacionales.

60 60 9. Modelo Teórico El diagnóstico en el área de seguridad informática, realizado en Apostar S.A., como punto de partida y aporte vital al proyecto, muestra como resultado una marcada amenaza contra los tres pilares fundamentales de la seguridad: confidencialidad, integridad y disponibilidad. Se detectaron cuatro puntos neurálgicos que requieren intervención inmediata, enfocados sobre todo a la seguridad lógica, más que a la física y con urgencia en la parte administrativa de la organización. Estos son: Manejo de Contraseñas. Manejo de Perfiles de Usuario. Estandarización de procesos para la administración de hardware y software Manejo de Backups. Se realizaron las recomendaciones respectivas, entre las cuales estaba la de diseñar la política de seguridad, la cual debe ser de carácter particular y que le dé cobertura a los puntos más críticos. Fue así como se decidió tomar como referente bibliográfico la norma ISO y el libro Políticas de Seguridad Informática-Mejores Prácticas Internacionales, escrito por Charles Cresson Wood en su versión 9.0, con el fin de delimitar el objeto de estudio y encontrar un modelo teórico que se ajustara a las necesidades de la organización. De acuerdo a las propuestas mundiales ya estudiadas, se destaca la importancia de Norma ISO 27000, porque permite tener en cuenta aspectos como la gestión del riesgo, las políticas de continuidad del negocio, así como las mejores prácticas reconocidas

61 61 internacionalmente en materia de gestión de la seguridad de la información. Textualmente, su alcance se cita a continuación con su correspondiente traducción: This International Standard establishes guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization. The objectives outlined in this International Standard provide general guidance on the commonly accepted goals of information security management. The control objectives and controls of this International Standard are intended to be implemented to meet the requirements identified by a risk assessment. This International Standard may serve as a practical guideline for developing organizational security standards and effective security management practices and to help build confidence in inter-organizational activities. (Norma ISO 27002, p. 16). Este Estándar Internacional establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos delineados en este Estándar Internacional proporcionan un lineamiento general sobre los objetivos de gestión de seguridad de la información generalmente aceptados. Los objetivos de control y los controles de este Estándar Internacional son diseñados para ser implementados y satisfacer los requerimientos identificados por una evaluación del riesgo. Este Estándar Internacional puede servir como un lineamiento práctico para desarrollar estándares de seguridad organizacional y prácticas de gestión de seguridad efectivas y para ayudar a elaborar la confianza en las actividades inter-organizacionales. (Norma ISO 27002, p.16)

62 62 Este alcance y la estructura de la norma en su totalidad, aunque amplia, son compatibles con los objetivos del presente proyecto, concluyendo así que es la metodología más apropiada para desarrollar la política de seguridad de Apostar S.A. Por su parte, las recomendaciones puntuales y modelos a seguir en el Libro Políticas de Seguridad Informática-Mejores Prácticas Internacionales, escrito por Charles Cresson Wood, facilitarán el cumplimiento del objetivo general del proyecto, al dividir claramente los aspectos primordiales a tener en cuenta al diseñar una política de seguridad y cómo cada uno de ellos juega un papel importante en la seguridad de la información. El aporte práctico de los autores para el proyecto se centra en facilitar las herramientas teóricas necesarias para proteger la información y preservarla, así como de sensibilizar a la alta gerencia para estimular su implementación y contribuir así con el inicio de un proceso vital para cualquier organización, como lo es la seguridad informática. Se pretende crear conciencia organizacional en lo que se refiere a la seguridad de los datos y las implicaciones que conllevaría la no aplicación de las medidas diseñadas para tal fin. La política será entregada a la Gerencia General de Apostar S.A. con todas las recomendaciones del caso, y será quien en últimas tomará la decisión de modificarla, ajustarla, darla a conocer e implementarla.

63 Concreción del Modelo A continuación se da a conocer la Política de Seguridad diseñada para Apostar S.A., como producto final y objetivo del presente proyecto. Los objetivos fueron cumplidos en su totalidad y se logró probar la hipótesis, al obtener una respuesta positiva por parte de la Gerencia de la organización. Ver Anexos.

64 Presupuesto 11.1 Materiales e Insumos Cuadro 7. Materiales e Insumos DESCRIPCIÓN CANTIDAD UNIDAD VALOR UNIDAD VALOR TOTAL Fotocopias 1 Hojas $50 $50, Internet 100 Horas $1.00 $150, TOTAL $150, Viáticos Cuadro 8. Viáticos LUGAR Nº DE PERSONAS VALOR PASAJES # DE VIAJES TOTAL Armenia 2 $ $20, Área Metropolitana 2 $ $50, TOTAL $100,000.00

65 Papelería Cuadro 9. Papelería DESCRIPCIÓN VALOR Libro Metodología de la Investigación $85, Fotocopias varias $60, TOTAL $145, Presupuesto Global Cuadro 10. Presupuesto Global. CONCEPTO TOTAL Materiales e insumos $150, Viajes $100, Bibliografía $145, TOTAL $395,000.00

66 Cronograma de Actividades Cuadro 11. Cronograma de Actividades. Fuente: Microsoft Project